Une nouvelle affaire de piratage dans le monde des cryptomonnaies vient de s’ajouter à la longue liste des hacks enregistrés ces derniers mois. En effet, EraLend, un protocole de prêt crypto décentralisé basé sur la couche 2 de zkSync, s’est vu dérober un montant initialement estimé à 3.4 millions de dollars.
L’attaque, confirmée par les analystes en sécurité de BlockSec, entre autres, aurait exploité une vulnérabilité de réentrance en lecture seule liée à un oracle de prix défectueux.
Nouveau hack dans le monde des prêteurs crypto
Cela a ouvert la possibilité pour le ou les hackers d’effectuer plusieurs appels répétés à une fonction au cours d’une seule transaction, et ainsi de retirer davantage de cryptos qu’il n’en avait le droit. Initialement, le montant du hack a été évalué à 3.4 millions de dollars, ce qui a ensuite été revu à la baisse.
We are assisting @Era_Lend to this issue, and the root cause has been identified. The total loss is ~$3.4M.
Specifically, this is a read-only re-entrancy attack.
Another attack tx is:https://t.co/H4A2suVLai
Attacker address:
0xf1D076c9Be4533086f967e14EE6aFf204D5ECE7a https://t.co/InhCCW7QAy— BlockSec (@BlockSecTeam) July 25, 2023
Soulignons que le terme “lecture seule” signifie que la fonction effectue une simple action de visualisation sur un pool tiers par exemple. Cependant, le piratage d’EraLend montre que ces fonctions peuvent visiblement être manipulées pour retirer des fonds.
Dans le cas présent, le tiers impliqué était la plateforme décentralisée SyncSwap, ce qui signifie selon les experts que tous les projets utilisant SyncSwap doivent désormais rester vigilants en vue d’éventuels autres hacks.
Dans un post sur Twitter, dorénavant X, EraLend a confirmé le piratage, déclarant avoir “connu un incident de sécurité sur notre plateforme” et affirmant que “la menace a été maîtrisée“.
🚨Security Update: We've experienced a security incident on our platform today. The threat has been contained. We've suspended all borrowing operations for now and advise against depositing USDC. We're working with partners and cybersecurity firms to address this.
More updates…— EraLend | The #1 Money Market on zkSync🥇 (@Era_Lend) July 25, 2023
La destination des fonds est identifiée, EraLend espère récupérer les fonds
Dans des mises à jour ultérieures, la société a apporté d’autres précisions, révélant notamment que le montant du piratage s’élève à 2.76 millions de dollars (contre 3.4 millions de dollars initialement estimés) et n’a concerné que le pool USDC, les autres pools restant sécurisés et non affectés.
EraLend a aussi précisé que l’auteur de l’attaque a dispersé les fonds exploités dans plusieurs portefeuilles sur différentes chaînes en utilisant plusieurs ponts, et que les fonds sont actuellement répartis sur 3 blockchains et 8 adresses, qui sont surveillées de près.
“Nous collaborons activement avec les ponts, les équipes de sécurité, les bourses et les forces de l’ordre afin d’enquêter et de retracer le flux des fonds” a par ailleurs déclaré le prêteur de cryptos, soulignant que son “objectif principal est de récupérer les fonds pour nos 500 000 utilisateurs du protocole”.
Enfin, dans l’attente de la résolution complète de l’affaire, EraLend a décidé d’interrompre temporairement les emprunts, l’approvisionnement en USDC et l’approvisionnement en SyncSwap LP sur son service, et de considérablement réduire le taux d’intérêt du pool USDC afin de protéger les positions d’emprunt affectées.
Sur le même sujet :
- Le prix de Pepe s’effondre tandis que la prévente de Evil Pepe s’intensifie
- Un hack de 23 millions de dollars sur le portefeuille Alphapo
- Breaking : Conic Finance a été hacké pour 3.2 millions de dollars en ETH
Partager
David Marcel
Rédacteur
